Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Malware! (https://www.trojaner-board.de/41328-malware.html)

daalex 26.07.2007 10:44
Malware!
 
Hi,

ich habe einen Scan mit AVG Anti-Spyware durchgeführt, AVG hat das hier gefunden:

Trojan.Agent.abd
Dropper.Small
Worm.Luder.e

Was soll ich tun?
Was macht diese Malware?

daalex 26.07.2007 12:08
Bitte helfen! :heulen:
Weis nicht was ich machen soll ... :headbang: :mad:

Sunny 26.07.2007 12:38
Hallo. :schmoll:

Sieh mal im letzten Report von Antivir nach, wo die besasgten Schädlinge gefunden wurden.

Am besten kopierst du den gesamten Report hier mal in den Beitrag. ;)

Gruß
Sunny

TrojanWarr 26.07.2007 12:39
Hallo ;)

Pfosten HijackThis log

daalex 26.07.2007 13:19
Zitat:
Sieh mal im letzten Report von Antivir nach, wo die besasgten Schädlinge gefunden wurden.
Ich habe mit AVG Antispyware gescannt^^

Hier:
__________________________________________________________
---------------------------------------------------------
AVG Anti-Spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 11:30:32 26.07.2007

+ Scan-Ergebnis:



C:\System Volume Information\_restore{20EA187A-C68E-49AC-A1E6-FEF621E0E4FC}\RP237\A0085905.dll -> Adware.Stud : Keine Aktion durchgeführt.
C:\System Volume Information\_restore{20EA187A-C68E-49AC-A1E6-FEF621E0E4FC}\RP201\A0068820.exe -> Dropper.Small : Keine Aktion durchgeführt.
C:\System Volume Information\_restore{20EA187A-C68E-49AC-A1E6-FEF621E0E4FC}\RP237\A0085912.exe -> Not-A-Virus.BadJoke.Win32.Deskop : Keine Aktion durchgeführt.
C:\System Volume Information\_restore{20EA187A-C68E-49AC-A1E6-FEF621E0E4FC}\RP222\A0082494.com -> Not-A-Virus.BadJoke.Win32.JepRuss : Keine Aktion durchgeführt.
C:\System Volume Information\_restore{20EA187A-C68E-49AC-A1E6-FEF621E0E4FC}\RP237\A0085920.com -> Not-A-Virus.BadJoke.Win32.JepRuss : Keine Aktion durchgeführt.
:mozilla.6:C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Mozilla\Profiles\default\8zwayosb.slt\cookies.txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Alex\Cookies\alex@adicqserver.71i[1].txt -> TrackingCookie.71i : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Alex\Cookies\alex@adicqserver.71i[2].txt -> TrackingCookie.71i : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Alex\Cookies\alex@adbrite[2].txt -> TrackingCookie.Adbrite : Keine Aktion durchgeführt.
:mozilla.50:C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Mozilla\Profiles\default\8zwayosb.slt\cookies.txt -> TrackingCookie.Addcontrol : Keine Aktion durchgeführt.
:mozilla.7:C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Mozilla\Profiles\default\8zwayosb.slt\cookies.txt -> TrackingCookie.Adtech : Keine Aktion durchgeführt.
:mozilla.8:C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Mozilla\Profiles\default\8zwayosb.slt\cookies.txt -> TrackingCookie.Adtech : Keine Aktion durchgeführt.
:mozilla.11:C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Mozilla\Profiles\default\8zwayosb.slt\cookies.txt -> TrackingCookie.Burstnet : Keine Aktion durchgeführt.
:mozilla.57:C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Mozilla\Profiles\default\8zwayosb.slt\cookies.txt -> TrackingCookie.Burstnet : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Alex\Cookies\alex@www.etracker[1].txt -> TrackingCookie.Etracker : Keine Aktion durchgeführt.
:mozilla.45:C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Mozilla\Profiles\default\8zwayosb.slt\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.46:C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Mozilla\Profiles\default\8zwayosb.slt\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.47:C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Mozilla\Profiles\default\8zwayosb.slt\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.48:C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Mozilla\Profiles\default\8zwayosb.slt\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.49:C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Mozilla\Profiles\default\8zwayosb.slt\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.14:C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Mozilla\Profiles\default\8zwayosb.slt\cookies.txt -> TrackingCookie.I12 : Keine Aktion durchgeführt.
:mozilla.15:C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Mozilla\Profiles\default\8zwayosb.slt\cookies.txt -> TrackingCookie.I12 : Keine Aktion durchgeführt.
:mozilla.16:C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Mozilla\Profiles\default\8zwayosb.slt\cookies.txt -> TrackingCookie.I12 : Keine Aktion durchgeführt.
:mozilla.17:C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Mozilla\Profiles\default\8zwayosb.slt\cookies.txt -> TrackingCookie.I12 : Keine Aktion durchgeführt.
:mozilla.18:C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Mozilla\Profiles\default\8zwayosb.slt\cookies.txt -> TrackingCookie.I12 : Keine Aktion durchgeführt.
:mozilla.52:C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Mozilla\Profiles\default\8zwayosb.slt\cookies.txt -> TrackingCookie.I12 : Keine Aktion durchgeführt.
:mozilla.53:C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Mozilla\Profiles\default\8zwayosb.slt\cookies.txt -> TrackingCookie.I12 : Keine Aktion durchgeführt.
:mozilla.54:C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Mozilla\Profiles\default\8zwayosb.slt\cookies.txt -> TrackingCookie.I12 : Keine Aktion durchgeführt.
:mozilla.19:C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Mozilla\Profiles\default\8zwayosb.slt\cookies.txt -> TrackingCookie.Ivwbox : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Alex\Cookies\alex@ivwbox[2].txt -> TrackingCookie.Ivwbox : Keine Aktion durchgeführt.
:mozilla.20:C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Mozilla\Profiles\default\8zwayosb.slt\cookies.txt -> TrackingCookie.Komtrack : Keine Aktion durchgeführt.
:mozilla.21:C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Mozilla\Profiles\default\8zwayosb.slt\cookies.txt -> TrackingCookie.Komtrack : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Alex\Cookies\alex@komtrack[2].txt -> TrackingCookie.Komtrack : Keine Aktion durchgeführt.
:mozilla.30:C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Mozilla\Profiles\default\8zwayosb.slt\cookies.txt -> TrackingCookie.Overture : Keine Aktion durchgeführt.
:mozilla.31:C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Mozilla\Profiles\default\8zwayosb.slt\cookies.txt -> TrackingCookie.Overture : Keine Aktion durchgeführt.
:mozilla.32:C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Mozilla\Profiles\default\8zwayosb.slt\cookies.txt -> TrackingCookie.Overture : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Alex\Cookies\alex@skype[1].txt -> TrackingCookie.Skype : Keine Aktion durchgeführt.
:mozilla.38:C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Mozilla\Profiles\default\8zwayosb.slt\cookies.txt -> TrackingCookie.Tacoda : Keine Aktion durchgeführt.
:mozilla.39:C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Mozilla\Profiles\default\8zwayosb.slt\cookies.txt -> TrackingCookie.Tacoda : Keine Aktion durchgeführt.
:mozilla.40:C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Mozilla\Profiles\default\8zwayosb.slt\cookies.txt -> TrackingCookie.Tacoda : Keine Aktion durchgeführt.
:mozilla.41:C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Mozilla\Profiles\default\8zwayosb.slt\cookies.txt -> TrackingCookie.Tacoda : Keine Aktion durchgeführt.
:mozilla.55:C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Mozilla\Profiles\default\8zwayosb.slt\cookies.txt -> TrackingCookie.Tfag : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Alex\Cookies\alex@php.sales.tfag[1].txt -> TrackingCookie.Tfag : Keine Aktion durchgeführt.
:mozilla.42:C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Mozilla\Profiles\default\8zwayosb.slt\cookies.txt -> TrackingCookie.Trafic : Keine Aktion durchgeführt.
C:\Programme\Alcohol 120\star_syn_client.dll -> Trojan.Agent.abd : Keine Aktion durchgeführt.
C:\System Volume Information\_restore{20EA187A-C68E-49AC-A1E6-FEF621E0E4FC}\RP214\A0078340.exe -> Worm.Luder.e : Keine Aktion durchgeführt.


::Berichtende

Sunny 26.07.2007 14:08
Das sieht auf den ersten Blick erstmal garnicht so schlimm aus. ;)

Als erstes solltest du das hier durchführen:

Schädlinge im Ordner der Systemwiederherstellung:

* Deaktiviere die Systemwiederherstellung -> So wird es gemacht.
* Danach das System neu starten, und mit deinem AV-Scanner nach dem Neustart
alles überprüfen.
(Systemwiederherstellung kann nun wieder aktiviert werden.)


außerdem:


Datenträgerbereinigung

Zum Starten des Dienstprogramms Datenträgerbereinigung klicke auf Start -> Programme -> Zubehör -> Systemprogramme und klicken anschließend auf Datenträgerbereinigung.
Lass die Partition bereinigen, auf dem dein Betriebssystem installiert ist!
(wird normalerweise automatisch erkannt!)

Probier dies als erstes aus, ansonsten melde dich nochmal.

Du kannst auch nochmal ein neues Hijacklog posten, vielleicht findet sich dort ja auch noch was. ;)

Gruß
Sunny

daalex 26.07.2007 15:27
Hallo :) ,
Ich konnte die Malware im Abgesicherten Modus mit AVG Anti-Spyware löschen ... :aplaus:

Hier mein Hijakthis Log:
_______________________________
Logfile of HijackThis v1.99.1
Scan saved at 16:21:26, on 26.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\sicher\avg\guard.exe
C:\Programme\sicher\avg\avgas.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Alex\Eigene Dateien\Downloads\hijakthis\This.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [InstantOn] "C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe /c "
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Wallpaper Juggler Monitor] "C:\PROGRA~1\WALLPA~1\WallpaperJugglerM.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\sicher\avg\avgas.exe" /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TaskSwitchXP] C:\Programme\TaskSwitchXP\TaskSwitchXP.exe
O4 - HKCU\..\Run: [VisualTaskTips] C:\Programme\VisualTaskTips\VisualTaskTips.exe
O4 - HKCU\..\Run: [UberIcon] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe"
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128778405937
O16 - DPF: {A672558F-A878-4D5A-A921-627C091CEB60} (Flatcast Producer 4.15) - http://www.flatcast.com/obj/NpFp415.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\sicher\avg\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

daalex 26.07.2007 15:42
Danke!! :Boogie: !:aplaus:

Sunny 27.07.2007 16:13
Zitat:
Zitat von daalex (Beitrag 282460)
Danke!! :Boogie: !:aplaus:
Das neue Hijacklog ist meiner Ansicht nach auch wieder clean, wenn keine Probleme mehr bestehen, sollte es das gewesen sein. :daumenhoc

Sunny


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:17 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129